ABD Ulusal Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen iki yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, federal kurumlar ve özel sektör için kritik bir uyarı niteliği taşıyor. Eklenen açıklardan ilki, popüler bir yapay zeka geliştirme platformu olan Langflow'da bulunan CVE-2025-34291 numaralı origin doğrulama hatası; ikincisi ise Trend Micro Apex One (Şirket İçi) ürününde tespit edilen CVE-2026-34926 numaralı dizin geçişi (directory traversal) zafiyeti. Her iki açık da siber saldırganlar tarafından aktif olarak kullanılıyor ve ciddi riskler oluşturuyor.
CVE-2025-34291, Langflow'un origin doğrulama mekanizmasındaki bir zafiyetten kaynaklanıyor. Bu açık, saldırganların kötü niyetli istekleri meşru kaynaklardan geliyormuş gibi göstermesine olanak tanıyarak, hassas verilere erişim veya sistem kontrolü gibi ciddi sonuçlara yol açabiliyor. Langflow, AI/ML iş akışlarını görsel olarak oluşturmak için yaygın kullanılan bir araç olduğundan, bu açığın istismarı veri sızıntısı, model manipülasyonu veya hizmet kesintilerine neden olabilir. Özellikle yapay zeka projelerinde Langflow kullanan kuruluşların bu açığı acilen değerlendirmesi ve gerekli yamaları uygulaması hayati önem taşıyor.
CVE-2026-34926 ise Trend Micro Apex One (Şirket İçi) ürününde bir dizin geçişi zafiyeti olarak tanımlandı. Bu tür açıklar, saldırganların yetkisiz dosya okuma veya yazma işlemleri gerçekleştirmesine olanak tanır. Trend Micro Apex One, kurumsal ağlarda yaygın olarak kullanılan bir uç nokta güvenlik çözümü olduğundan, bu açığın istismarı saldırganlara sistemler üzerinde geniş yetkiler verebilir. Örneğin, kötü amaçlı yazılım yükleme, hassas verileri çalma veya ağ içinde yatay hareket etme gibi saldırılar düzenlenebilir. Bu nedenle Trend Micro ürünlerini kullanan tüm kuruluşların derhal güncelleme yapması öneriliyor.
Gelecekte Ne Bekleniyor?
CISA'nın bu eklemeleri, 2021 yılında yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında gerçekleşiyor. BOD 22-01, federal sivil yürütme organı (FCEB) ajanslarının, KEV Kataloğu'nda listelenen güvenlik açıklarını belirtilen son tarihe kadar düzeltmesini zorunlu kılıyor. Direktif, bilinen istismar edilen açıkları federal ağlara yönelik aktif tehditler olarak tanımlıyor ve bu açıkların kapatılmasını yasal bir yükümlülük haline getiriyor. Ancak CISA, BOD 22-01'in yalnızca federal ajanslar için bağlayıcı olmasına rağmen, tüm kuruluşları bu açıkları öncelikli olarak gidermeye çağırıyor.
Nasıl Önlem Alınmalı?
KEV Kataloğu, siber güvenlik topluluğu için önemli bir kaynak. CISA, kataloğa yeni eklemeler yaparak hem federal kurumları hem de özel sektörü bilgilendiriyor ve proaktif savunma stratejileri geliştirmelerine yardımcı oluyor. Kataloğun amacı, bilinen istismar edilen açıkların yaygınlaşmasını önlemek ve kuruluşların güvenlik açığı yönetimi süreçlerini hızlandırmak. CISA, belirlenen kriterleri karşılayan yeni güvenlik açıklarını kataloğa eklemeye devam edeceğini belirtiyor. Bu nedenle, kuruluşların KEV Kataloğu'nu düzenli olarak takip etmeleri ve ilgili açıkları hızlıca kapatmaları kritik önem taşıyor.
Kuruluşlar, bu tür tehditlere karşı savunmalarını güçlendirmek için birkaç adım atabilir: Öncelikle, güvenlik açığı yönetimi programlarını güncelleyerek CISA KEV Kataloğu'nu düzenli olarak taramalı ve ilgili yamaları uygulamalıdır. İkinci olarak, ağ segmentasyonu, erişim kontrolleri ve izleme sistemleri gibi temel güvenlik önlemlerini sıkılaştırmalıdır. Üçüncü olarak, çalışanlarına yönelik farkındalık eğitimleri düzenleyerek sosyal mühendislik saldırılarına karşı direnci artırmalıdır. Son olarak, siber güvenlik ekipleri, tehdit istihbaratı kaynaklarını aktif olarak takip etmeli ve olay müdahale planlarını düzenli olarak test etmelidir. Unutmayın, bilinen bir açık kapatılmadığı sürece, bir saldırı olması an meselesidir.
Kaynak: cisa.gov